Cấu hình định tuyến chính sách trong Fortigate


8

Tôi có một kịch bản trong đó tường lửa Fortigate được sử dụng để tách các mạng nội bộ khỏi Internet (Bản vá lỗi FortiOS Phiên bản 4.0 MR3 11). Ngay bây giờ có một kết nối Internet duy nhất được gắn vào tường lửa và một tuyến tĩnh mặc định được sử dụng để có được tất cả lưu lượng truy cập Internet thông qua nó. Tôi muốn đính kèm một kết nối Internet thứ hai vào tường lửa và sau đó chỉ định tuyến lưu lượng truy cập nhất định thông qua nó, ví dụ như lưu lượng truy cập web.

Đối với thiết lập này, tôi giữ tuyến mặc định tĩnh hiện tại thông qua liên kết đầu tiên và sau đó định cấu hình các tùy chọn định tuyến chính sách để định tuyến lưu lượng truy cập với cổng đích TCP / 80 và TCP / 443 thông qua liên kết Internet thứ hai. Như mong đợi, định tuyến chính sách được đánh giá trước bảng định tuyến và tất cả lưu lượng truy cập đến TCP / 80 và TCP / 443 được gửi qua liên kết thứ hai, bao gồm lưu lượng giữa các mạng con được kết nối trực tiếp với Pháo đài, phá vỡ giao tiếp giữa chúng.

Trong môi trường của Cisco, tôi sẽ điều chỉnh ACL được sử dụng để khớp lưu lượng để định tuyến chính sách, từ chối lưu lượng giữa các mạng nội bộ ở đầu ACL và thêm câu lệnh "cho phép bất kỳ" vào cuối. Tuy nhiên, tôi không thể tìm ra cách hướng dẫn Pháo đài hoạt động theo cách tương tự.

Bạn có biết làm thế nào để kịch bản này hoạt động với Fortigate không?

Câu trả lời:


4

Vì các tuyến chính sách được đánh giá từ trên xuống, bạn có thể làm việc xung quanh giới hạn này bằng cách đặt lưu lượng truy cập phù hợp cụ thể hơn từ mạng con nội bộ A đến mạng con nội bộ B.

Tuy nhiên, điều này sẽ không thoải mái nếu bạn có nhiều mạng khác nhau được gắn vào giao diện nội bộ của bạn.

Trong trường hợp này, tôi sẽ khuyên bạn một mẹo mà tôi đã từng sử dụng: vì các thiết bị Fortigate bỏ qua các dấu QoS, bạn nên ký các gói "internet" của mình trên cổng đối diện với tường lửa của thiết bị chuyển mạch Cisco của bạn với một Tosh cụ thể và sau đó sử dụng dấu đó trong chính sách-lộ trình.


7

Từ blog của Phòng thí nghiệm mạng :

"Trong trường hợp tường lửa Fortinet, Lộ trình chính sách của nó:
phiên bản CLI:

config router policy
    edit 1
        set input-device "port4"
        set src 172.18.0.0 255.255.0.0
        set dst 192.168.3.0 255.255.255.0
        set protocol 6
        set start-port 443
        set end-port 443
        set gateway 1.1.1.1
        set output-device "port3"
    next
end

Đối với phiên bản GUI, hãy kiểm tra blog ở trên. Không thể đăng hình ảnh cho đến khi tôi nhận được 10 điểm đại diện. : - /


Một trong những điều kiện phù hợp cho ví dụ này là địa chỉ nguồn rơi vào 172,18.0.0 / 16 và địa chỉ đích thành 192.168.3.0/24. Tôi tự hỏi làm thế nào để định cấu hình "địa chỉ nguồn rơi vào 172,18.0.0 / 16 và địa chỉ đích rơi vào bất kỳ mạng con nào ngoại trừ 192.168.3.0/24"
Daniel Yuste Aroca

Tạo một ACL từ chối nguồn 172,18.0.0 / 16 đến đích 192.168.3.0/24. Sau đó, tuyên bố trên bạn sẽ thay đổi đích đến nơi bạn muốn 443 đi.
sigwo

AFAIK, ACL được đánh giá trước PBR. Vì vậy, ACL sẽ từ chối lưu lượng, sau đó PBR sẽ đảm nhiệm việc định tuyến lưu lượng 443 đến giao diện / tuyến mong muốn của bạn.
sigwo
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.